03/10/22
Бреши в защите Microsoft Exchange обнаружила вьетнамская компания GTSC еще в августе 2022 года, передает Securitylab. Двум обнаруженным уязвимостям еще не присвоены идентификаторы CVE, поэтому они отслеживаются как ZDI-CAN-18333 (имеет оценку 8.8 по шкале CVSS) и ZDI-CAN-18802 (имеет оценку 6.3 по шкале CVSS).
Исследователи GTSC заявили, что успешная эксплуатация уязвимостей позволяет хакерам взломать систему жертвы, установить веб-оболочку и осуществить боковое перемещение по скомпрометированной сети.
По словам специалистов, злоумышленники сбрасывают обфусцированные веб-оболочки на серверы Exchange и используют китайский кросс-платформенный инструмент Antsword с открытым исходным кодом, открывающий административный доступ к веб-шеллу.
На то, что за атаками может стоять китайская группировка, указывают несколько зацепок:
- Веб-оболочка использует метод кодирования, поддерживающий упрощенный китайский язык;
- В ходе атак используется бэкдор China Chopper, позволяющий установить постоянный удаленный доступ к сети жертвы. Ранее этот бэкдор использовался китайскими государственными хакерами из группировки Hafnium.
После эксплуатации бэкдора злоумышленники внедряют вредоносные DLL в память и выгружают дополнительные полезные нагрузки на зараженные серверы с помощью утилиты WMIC.
По словам представителей GTSC, уже несколько организаций стали жертвами атак с использованием новых 0-day уязвимостей. До выпуска исправлений компания отказалась разглашать какие-либо технические подробности брешей в защите.
